{"id":216476,"date":"2019-04-02T00:05:00","date_gmt":"2019-04-01T22:05:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=216476"},"modified":"2019-04-02T02:03:26","modified_gmt":"2019-04-02T00:03:26","slug":"windows-spoofing-ber-reg-dateien","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/04\/02\/windows-spoofing-ber-reg-dateien\/","title":{"rendered":"Windows: Spoofing über .reg-Dateien"},"content":{"rendered":"

[English<\/a>]Windows-Nutzer lassen sich beim Import von .reg-Dateien hemmungslos austricksen, wie ich gerade verifizieren konnte. Man kann dem Benutzer \u00fcber ein Import-Dialogfeld beliebige Nachrichten schicken. <\/p>\n

<\/p>\n

Worum geht es?<\/h2>\n

\"\"In Windows lassen sich .reg-Dateien, kleine Textdateien, mit dem Editor erstellen und speichern. In der .reg-Datei k\u00f6nnen Befehle stehen, um Eintr\u00e4ge in der Registrierung zu setzen oder zu l\u00f6schen. Der Windows-Registrierungseditor regedit.exe<\/em> erm\u00f6glicht es, den Inhalt einer .reg-Datei per Doppelklick zu importieren. <\/p>\n

\".reg-File<\/p>\n

Dann kommt das obige Dialogfeld, welches vor dem Import warnt und der Benutzer muss dem Import \u00fcber die Ja-Schaltfl\u00e4che zustimmen. Bei bestimmten Schl\u00fcsseln sind aber administrative Rechte f\u00fcr den Import notwendig, so dass der Registrierungseditor \u00fcber die Benutzerkontensteuerung erh\u00f6hte Rechte anfordern muss. So weit so gut. <\/p>\n

Der Import-Dialog l\u00e4sst sich manipulieren<\/h2>\n

Spoofing<\/a> ist der englische Begriff f\u00fcr eine T\u00e4uschungsmethode in der Informatik, den Angreifer verwenden, um Benutzer auszutricksen. Sicherheitsforscher John Page (aka hyp3rlinx) hat nun herausgefunden<\/a>, dass man dem Registrierungseditor regedit.exe<\/em> eine reg-Datei mit einem speziell gestalteten Dateinamen unterjubeln kann. Durch diesen Dateinamen l\u00e4sst sich der Text im angezeigten Dialogfeld manipulieren.  <\/p>\n

\"manipulierte<\/p>\n

Das obige Dialogfeld zeigt eine manipulierte Textmeldung beim Import einer .reg-Datei. Hier wurden Textteile der urspr\u00fcnglichen Meldung schlicht unterdr\u00fcckt.  \u00dcber eine solche manipulierte Meldung k\u00f6nnten Angreifer unerfahrene Nutzer dazu bringen, die Ja-Schaltfl\u00e4che zum Import einer .reg-Datei mit gef\u00e4hrlichen Inhalten zu importieren. Zudem gibt es in Windows 10 wohl die M\u00f6glichkeit, die Anzeige des zweiten Statusdialogfelds, welches mitteilt, dass ein Import erfolgreich war, zu unterdr\u00fccken.  <\/p>\n

Ans\u00e4tze zur Manipulation<\/h2>\n

Um den angezeigten Standardtext zu l\u00f6schen und eigene Texte im Dialogfeld einzublenden, kann man mit %-codierten Zeichen wie %n oder %r und %0 im Dateinamen der .reg-Datei arbeiten. So k\u00f6nnen zum Beispiel die Textstellen \"nicht vertrauen \u2026\" und \"M\u00f6chten Sie den Vorgang vortsetzen?\" in der Standardwarnmeldungen k\u00f6nnen durch die Verwendung von %0-Zeichen entfernt werden.<\/p>\n

Normalerweise \u00f6ffnet der Registrierungseditor nach einem erfolgreichen Import ein weiteres Fenster mit einer entsprechenden Statusmeldung. Diese l\u00e4sst sich unterdr\u00fccken, indem am Ende des Dateinamens, direkt vor dem Punkt eine (Null) als Wert eingef\u00fcgt wird. Dies l\u00e4sst sich mit %1 oder %25 erreichen. Der Dateinamen:<\/p>\n

\"Microsoft-Security-Update v1.2-Windows-10.r%e%g%r%nC%l%i%c%k%b%Y%e%s%b%b%b%b%1%0.reg\"<\/p>\n

unterdr\u00fcckt nicht nur das zweite Statusfenster mit der Anzeige des erfolgreichen Imports. Es erzeugt auch ein Dialogfeld mit dem oben gezeigten, manipuliertem Test in der Anzeige. Hier eine Liste von Zeichen, die sich f\u00fcr die Manipulation nutzen lassen. <\/p>\n